永久免费自助建站系统网站建设经费保障
memberOf 反向属性丢失
最近的主旋律是降本增效,每隔一段时间就送走一批同事和服务器,也是没谁了。
历史包袱,有两套 openldap 服务,需要做腾退。
简单说就是把一台中的数据导出,然后导入到另一台中去。
导出导入本身很简单没什么可说的。
但是导入之后同事反馈查不到用户所在的组了。
这怎么可能的呢,我测过是好用的呀?
一番探究,同事用了 openldap memberof反向属性的能力。
memberOf 是一个 自动反向关联属性,当你把用户加入某个组(如 groupOfNames.member),OpenLDAP 自动在用户条目上加上 memberOf —— 但前提是:
- 你启用了
memberofoverlay - 并在 启用 overlay 后 添加的
member才会触发,memberOf属性不会自动补历史数据,你需要更新成员才会触发。这是关键。
启用 memberof overlay
# memberof_overlay.ldif
dn: olcOverlay=memberof,olcDatabase={6}mdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcMemberOfConfig
olcOverlay: memberof
olcMemberOfRefInt: TRUE
olcMemberOfDangling: ignore
olcMemberOfGroupOC: groupOfNames
olcMemberOfMemberAD: member
olcMemberOfMemberOfAD: memberOf
ldapadd -Y EXTERNAL -H ldapi:/// -f memberof_overlay.ldif
systemctl restart slapd
systemctl status slapd
批量删除并重新添加组内成员
import ldapTEMP_MEMBER_DN = b"cn=temp,ou=people,dc=x,dc=com"def list_group_dns():ldap_uri = "ldap://ldap.x.com"bind_dn = "cn=ladm,dc=x,dc=com"bind_pw = "your_bind_pw" # 替换成实际密码conn = ldap.initialize(ldap_uri)conn.simple_bind_s(bind_dn, bind_pw)# 搜索所有 groupOfNames 组group_results = conn.search_s("dc=x,dc=com",ldap.SCOPE_SUBTREE,"(objectClass=groupOfNames)",["member"])for dn, attrs in group_results:print(f"- {dn}")members = attrs.get("member", [])for member_dn in members:# 删除(如果不是唯一成员)if len(members) > 1:print(f"{dn} 成员数: {len(members)}")try:conn.modify_s(dn, [(ldap.MOD_DELETE, "member", member_dn)])# print(f"[OK] 删除成员: {member_dn.decode()}")try:print(f"重新添加成员: {member_dn.decode()} -> {dn}")# 添加conn.modify_s(dn, [(ldap.MOD_ADD, "member", member_dn)])except ldap.TYPE_OR_VALUE_EXISTS:print(f"[INFO] 已存在成员: {member_dn.decode()},跳过添加")except ldap.LDAPError as e:print(f"[ERROR] 添加成员失败: group={dn}, member={member_dn}, 错误: {e}")except ldap.NO_SUCH_ATTRIBUTE:print(f"[INFO] 成员不存在: {member_dn.decode()},跳过删除")except ldap.LDAPError as e:print(f"[ERROR] 删除成员失败: group={dn}, member={member_dn}, 错误: {e}")else:print(f"{dn} 仅剩一个成员,插入临时成员")conn.modify_s(dn, [(ldap.MOD_ADD, "member", TEMP_MEMBER_DN)])try:conn.modify_s(dn, [(ldap.MOD_DELETE, "member", member_dn)])try:print(f"重新添加成员: {member_dn.decode()} -> {dn}")# 添加conn.modify_s(dn, [(ldap.MOD_ADD, "member", member_dn)])except ldap.TYPE_OR_VALUE_EXISTS:print(f"[INFO] 已存在成员: {member_dn.decode()},跳过添加")except ldap.LDAPError as e:print(f"[ERROR] 添加成员失败: group={dn}, member={member_dn}, 错误: {e}")except ldap.NO_SUCH_ATTRIBUTE:print(f"[INFO] 成员不存在: {member_dn.decode()},跳过删除")except ldap.LDAPError as e:print(f"[ERROR] 删除成员失败: group={dn}, member={member_dn}, 错误: {e}")print(f"{dn} 删除临时成员")conn.modify_s(dn, [(ldap.MOD_DELETE, "member", TEMP_MEMBER_DN)])conn.unbind_s()def main():list_group_dns()if __name__ == "__main__":main()
测试验证
ldapsearch -x -H ldap://ldap.x.com -D "cn=adm,dc=x,dc=com" -W \-b "cn=alice,ou=people,dc=x,dc=com" "(objectClass=person)"dn: cn=alice,ou=people,dc=x,dc=com
memberOf: cn=enabled,ou=abc,ou=group,dc=x,dc=com